Trzy dni po premierze iOS 17 Apple to zrobił wydał iOS 17.0.1 z trzema ważnymi poprawkami bezpieczeństwa. Warto zauważyć, że Apple twierdzi, że ma świadomość, że wszystkie naprawione luki zostały zgłoszone jako aktywnie wykorzystywane.
Wkrótce po wydaniu iOS 17.0.1 wraz z iPadOS 17.0.1, watchOS 10.0.1 i innymi wersjami z „ważnymi poprawkami błędów i aktualizacjami zabezpieczeń” Apple udostępnił szczegóły luki w zabezpieczeniach na stronie poświęconej bezpieczeństwu.
3 aktywnie wykorzystywane wady naprawione ponownie
Apple twierdzi, że każda z trzech usterek została po raz pierwszy załatana w iOS 16.7. Jednak w przypadku dwóch z nich iOS 17.0.1 wprowadza „ulepszone kontrole”, podczas gdy w trzecim pojawił się „problem z walidacją certyfikatu”, rozwiązany w celu ochrony przed wcześniej wykrytymi błędami.
Jedną z nich była usterka jądra, inna omijała problem sprawdzania poprawności podpisu, a ostatnią była luka w zabezpieczeniach WebKit, która umożliwiała wykonanie dowolnego kodu.
Chociaż najlepiej jest zaktualizować system do nowej wersji, aby uzyskać większe bezpieczeństwo, pamiętaj, że przed przywróceniem danych z kopii zapasowej za pomocą tego oprogramowania musisz zainstalować system iOS 17.0.1 na swoim iPhonie 15/15 Pro.
Oto CVE dla każdej naprawionej wady:
Jądro
Dostępne dla: iPhone XS i nowsze, iPad Pro 12,9 cala 2. generacji i nowsze, iPad Pro 10,5 cala, iPad Pro 11 cali 1. generacji i nowsze, iPad Air 3. generacji i nowsze, iPad 6. generacji i nowsze, iPad mini 5. pokolenia i później
Skutek: lokalny atakujący może podnieść swoje uprawnienia. Firma Apple wie o zgłoszeniu, że ten problem mógł być aktywnie wykorzystywany w wersjach systemu iOS wcześniejszych niż 16.7.
Opis: problem naprawiono przez ulepszone kontrole.
CVE-2023-41992: Bill Marczak z The Citizen Lab w szkole Munk School na Uniwersytecie w Toronto i Maddie Stone z grupy ds. analizy zagrożeń firmy Google
Bezpieczeństwo
Dostępne dla: iPhone XS i nowsze, iPad Pro 12,9 cala 2. generacji i nowsze, iPad Pro 10,5 cala, iPad Pro 11 cali 1. generacji i nowsze, iPad Air 3. generacji i nowsze, iPad 6. generacji i nowsze, iPad mini 5. pokolenia i później
Zagrożenie: złośliwa aplikacja może ominąć weryfikację podpisu. Firma Apple wie o zgłoszeniu, że ten problem mógł być aktywnie wykorzystywany w wersjach systemu iOS wcześniejszych niż 16.7.
Opis: rozwiązano problem z walidacją certyfikatu.
CVE-2023-41991: Bill Marczak z The Citizen Lab w szkole Munk School na Uniwersytecie w Toronto i Maddie Stone z grupy ds. analizy zagrożeń firmy Google
WebKita
Dostępne dla: iPhone XS i nowsze, iPad Pro 12,9 cala 2. generacji i nowsze, iPad Pro 10,5 cala, iPad Pro 11 cali 1. generacji i nowsze, iPad Air 3. generacji i nowsze, iPad 6. generacji i nowsze, iPad mini 5. pokolenia i później
Zagrożenie: przetwarzanie treści internetowych może prowadzić do wykonania dowolnego kodu. Firma Apple wie o zgłoszeniu, że ten problem mógł być aktywnie wykorzystywany w wersjach systemu iOS wcześniejszych niż 16.7.
Opis: problem naprawiono przez ulepszone kontrole.
Bugzilla WebKit: 261544
CVE-2023-41993: Bill Marczak z The Citizen Lab w szkole Munk School na Uniwersytecie w Toronto i Maddie Stone z grupy ds. analizy zagrożeń firmy Google
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.
